Comprendre les groupes de connecteurs de réseau privé Microsoft Entra
Utilisez des groupes de connecteurs de réseau privé pour affecter des connecteurs spécifiques à des applications spécifiques. Les groupes de connecteurs vous donnent plus de contrôle et vous permettent d’optimiser vos déploiements.
Chaque connecteur de réseau privé est affecté à un groupe de connecteurs. Tous les connecteurs qui appartiennent au même groupe de connecteurs agissent comme une unité distincte pour la haute disponibilité et l’équilibrage de charge. Tous les connecteurs appartiennent à un groupe de connecteurs. Si vous ne créez pas de groupes, tous vos connecteurs se trouvent dans un groupe par défaut. Vous créez de nouveaux groupes de connecteurs et attribuez des connecteurs dans le centre d’administration Microsoft Entra.
Les groupes de connecteurs sont utiles si vos applications sont hébergées à différents endroits. Vous créez des groupes de connecteurs en fonction de l’emplacement. Les applications utilisent des connecteurs qui sont physiquement proches d’eux.
Conseil
Si vous avez un grand déploiement de proxy d’application, n’attribuez aucune application au groupe de connecteurs par défaut. Ainsi, les nouveaux connecteurs ne reçoivent pas de trafic live tant que vous ne les affectez pas à un groupe de connecteurs actif. Cette configuration vous permet également de passer des connecteurs en mode inactif en les réintégrant au groupe par défaut, pour que vous puissiez en effectuer la maintenance sans impacter vos utilisateurs.
Prérequis
Vous devez avoir plusieurs connecteurs pour utiliser les groupes de connecteurs. Les nouveaux connecteurs sont automatiquement ajoutés au groupe de connecteurs par défaut. Pour plus d’informations sur l’installation des connecteurs, consultez Configurer des connecteurs.
Affecter des applications à vos groupes de connecteurs
Vous attribuez une application à un groupe de connecteurs lorsque vous la publiez pour la première fois. Vous pouvez également mettre à jour le groupe auquel un connecteur est attribué.
Cas d’utilisation des groupes de connecteurs
Les groupes de connecteurs sont utiles dans divers scénarios, notamment les suivants :
Sites contenant plusieurs centres de données interconnectés
Les grandes organisations utilisent plusieurs centres de données. Vous souhaitez maintenir autant que possible le trafic au sein d’un centre de données spécifique, car les liaisons entre centres de données sont coûteuses et lentes. Vous déployez des connecteurs dans chaque centre de données pour traiter uniquement les applications contenues dans le centre de données. Cette approche réduit au minimum les liaisons entre centres de données et fournit à vos utilisateurs une expérience entièrement transparente.
Applications installées sur des réseaux isolés
Les applications peuvent être hébergées sur des réseaux qui ne font pas partie du réseau d’entreprise principal. Vous pouvez utiliser des groupes de connecteurs pour installer des connecteurs dédiés sur des réseaux isolés afin d’isoler les applications sur le réseau. Le scénario est courant pour les fournisseurs qui gèrent une application spécifique.
Applications installées sur Infrastructure as a Service (IaaS)
Pour les applications installées sur l’Infrastructure as a Service (IaaS) pour l’accès au nuage, les groupes de connecteurs fournissent un service commun pour sécuriser l’accès à toutes les applications. Les groupes de connecteurs ne créent pas de dépendances supplémentaires sur votre réseau d’entreprise et ne fragmentent pas l’expérience de l’application. Les connecteurs sont installés sur chaque centre de données du cloud et servir uniquement les applications qui se trouvent sur ce réseau. Vous installez plusieurs connecteurs pour atteindre une haute disponibilité.
Prenons par exemple une organisation qui a plusieurs machines virtuelles connectées à son propre réseau virtuel IaaS hébergé. Pour permettre aux employés d’utiliser ces applications, ces réseaux privés sont connectés au réseau de l’entreprise à l’aide d’un réseau privé virtuel (VPN) de site à site. Le VPN site à site offre une bonne expérience aux employés qui se trouvent sur place. Mais elle n’est pas idéale pour les employés à distance, car elle nécessite une infrastructure local plus importante pour acheminer l’accès, comme l’illustre le diagramme :
Avec les groupes de connecteurs de réseau privé Microsoft Entra, vous activez un service commun pour sécuriser l’accès à toutes les applications sans créer de dépendances supplémentaires sur votre réseau d’entreprise :
Forêts multiples : groupes de connecteurs différents pour chaque forêt
L’authentification unique est généralement obtenue à l’aide de la délégation Kerberos contrainte (KCD). Les machines du connecteur sont rattachées à un domaine qui peut déléguer les utilisateurs à l’application. KCD prend en charge les fonctionnalités inter-forêts. Mais pour les entreprises qui disposent d’environnements distincts à plusieurs forêts sans approbation entre eux, il est impossible d’utiliser un connecteur unique pour toutes les forêts. Au lieu de cela, des connecteurs spécifiques sont déployés par forêt et configurés pour servir les applications qui sont publiées pour servir uniquement les utilisateurs de cette forêt spécifique. Chaque groupe de connecteurs représente une forêt différente. Bien que le locataire et la majorité de l’expérience soient unifiés pour toutes les forêts, les utilisateurs peuvent être affectés à leurs applications de forêt en utilisant des groupes Microsoft Entra.
Sites de récupération d’urgence
Il existe deux approches à prendre en compte pour les sites de récupération d’urgence :
- Votre site de récupération d’urgence est intégré en mode actif-actif où il est exactement comme le site principal. Le site a également les mêmes paramètres réseau et Active Directory (AD). Vous pouvez créer les connecteurs sur le site de récupération d’urgence dans le même groupe de connecteurs que le site principal. Microsoft Entra ID détecte les basculements pour vous.
- Votre site de récupération d’urgence est distinct du site principal. Vous créez un autre groupe de connecteurs dans le site de récupération d’urgence. Vous disposez d’applications de sauvegarde ou vous redirigez manuellement l’application existante vers le groupe de connecteurs de récupération d’urgence si nécessaire.
Traiter plusieurs entreprises à partir d’un seul client
Vous pouvez mettre en œuvre un modèle dans lequel un fournisseur de services unique déploie et maintient les services liés à Microsoft Entra pour plusieurs entreprises. Les groupes de connecteurs vous aident à séparer les connecteurs et les applications en différents groupes. Une méthode, qui est appropriée pour les petites entreprises, est d’avoir un seul locataire Microsoft Entra, les différentes entreprises ayant leurs propres noms de domaine et leurs propres réseaux. La même approche s’applique aux scénarios de fusion et aux situations dans lesquelles une seule division sert plusieurs entreprises pour des raisons réglementaires ou commerciales.
Exemples de configurations
Tenez compte de ces exemples de configurations de groupe de connecteurs.
Configuration par défaut : inutile pour les groupes de connecteurs
Si vous n’utilisez pas les groupes de connecteurs, votre configuration ressemblerait à ceci :
La configuration est suffisante pour les tests et les petits déploiements. Elle est également adaptée si votre organisation dispose d’une topologie de réseau à plat.
Configuration par défaut et réseau isolé
La configuration est une évolution de la configuration par défaut, une application spécifique fonctionnant dans un réseau isolé tel que le réseau virtuel IaaS :
Configuration recommandée : plusieurs groupes spécifiques et un groupe par défaut inactif
La configuration recommandée pour les organisations de grande taille et complexes consiste à disposer du groupe de connecteurs par défaut en tant que groupe qui ne traite aucune application et qui est utilisé pour les connecteurs inactifs ou nouvellement installés. Toutes les applications sont traitées à l’aide de groupes de connecteurs personnalisés.
Dans l’exemple, l’entreprise a deux centres de données, A et B, avec deux connecteurs qui servent chaque site. Des applications différentes s’exécutent sur chaque site.